bonjour, depuis hier j'ia une pub pour un antivirus qui se met dès l'uvertue de l'ordi en fond d'écran, ce qui freine d'ailleurs la mise en route. Je n'arrive pas à l'enlever, même en allant sur le site où on vous sugère gentiment d'acquérir les droits pour 60$. J'ai utilisé ad-awre, l'antispyware de microsoft, spybot, et un hijackthis que j'ai exploité comme j'ai pu. Mais rien à faire, il squat mon ordi. qq'un a t-il une suggestion? merci. A+ poctoy

Fond d'écran parasite...

Réponse 1 / 22

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
10 juil. 2005 à 19:01

salut

imprime cette manip et suit la.

A/ si tu ne les as pas, telecharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) execute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

A+

Jean

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
10 juil. 2005 à 20:09

ok merci, j'essaie tout ça et je te tiens au courant...
A+
poctoy

Réponse 2 / 22

poctoy
10 juil. 2005 à 21:43

salut jean 38,

j'ai fait toutes les manips, il y a du mieux, cad que le texte et l'image et le fond d'écran ont disparu, mais à la place j'ai une image toute blanche de la même taille que l'image précédente. Mes icônes apparaissent tout de même.

je n'ai pas pu utiliser a2, ma "licence" gratuite a expiré...
qd au résultat du scan hijackthis, le voici.
Logfile of HijackThis v1.99.1
Scan saved at 21:35:55, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Lyad] C:\PROGRAM FILES\EMULE\lyrod.exe autostart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

j'ai fait une évaluation sur ce site : http://hijackthis.de/index.php?langselect=french

et a priori rien de suspect...

as-tu des commentaires à y faire? et sai-tu comment me débarasser de ce carré blanc en fond d'écran????
merci
A+
poctoy

Réponse 3 / 22

Utilisateur anonyme
10 juil. 2005 à 21:47

salut

telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le est choisis l'option 1
poste le rapport

pour ton fond d'écran:
vérifie ceci:

Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

a+

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
10 juil. 2005 à 21:51

salut,

après cette manip, sur la fenêtre web je n'ai rien, cad je n'ai pas la coche "ma page d'accueil"...

???
A+
poctoy

Réponse 4 / 22

Utilisateur anonyme
10 juil. 2005 à 21:53

ca doit etre comme sur l'image à moins que tu n'utilise une page web comme fond d'écran.
tu essayé de remettre un fond d'ecran ?

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
10 juil. 2005 à 21:59

voici le rapport de smirtfraudfix :
SmitFraudFix v0.7

Rapport fait à 21:55:17,75 le 10/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

A+
poctoy

Réponse 5 / 22

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
10 juil. 2005 à 22:03

et bien si rien de suspect, commence par faire çà :

merci au robot d'analyse lol

A/ si tu ne les as pas, telecharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe

O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe

O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll

O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll

O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O
16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab

5) supprime les fichiers

bingo9.exe
ERTYDF.exe
C:\WINDOWS\System32\iegfxfrw.dll

6) execute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre

refait un log et moe verra la suite s'il veut bien

A+

Réponse 6 / 22

Utilisateur anonyme
10 juil. 2005 à 22:06

salut

rajoute celle ci aussi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110

Réponse 7 / 22

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
10 juil. 2005 à 22:15

je crois que je vais aller me coucher, je l'avais mise sur mon papier et pas recopier.

Vacances J-3

Réponse 8 / 22

Utilisateur anonyme
10 juil. 2005 à 22:16

les 3 derniers c'est les plus long, lol mais plus tres longtemps à tenir...

Réponse 9 / 22

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
10 juil. 2005 à 22:18

t'inquiete pas tu auras le decompte jour par jour.

j'aurais une petite pensée pour vous tous au fonds du desert... trop bon.

Réponse 10 / 22

Utilisateur anonyme
10 juil. 2005 à 22:19

veinard !!!

c'est original le desert, mais quel calme !

poctoy
11 juil. 2005 à 20:50

salut,

qq infos, désolé elles prennent de la place mais y’à des trucs que je pige pas du tout :

1) voici ce que j'ai comme propriété lorsque je fais un clic droit sur ma "fameuse" image blanche en fond d'écran :
file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html

2) par ailleurs, il semble que mes paramètres généraux aient été modifiés avec ttes ces manips. par exemple dans le panneau de configuration "affichage", je n'ai plus que 2 onglets "écran de veille" et "paramètres", autrement dit je ne peux plus personnaliser ni le fond d'écran, ni l'écran de veille, ni vérifier la configuration de mon fond d'écran comme tu me le disais dans un message précédent dans l'onglet "web"...

3) peut-être une info intéressante : qd je fais clic droit sur mon image blanche et que je fais « source », voici ce que j’ai :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY bgColor=#0102ac>
<DIV
style="BACKGROUND: url(file:///C:/WINDOWS/System32/wp.bmp) no-repeat 50% 50%; LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 1024px"></DIV><IFRAME
id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>

où ça parle semble t-il d’une tâche lancé automatiquement par XP, et où on retrouve le fichier file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html…

mais dans tt ça je pige pas grand chose….

4) j’ai essayé de virer comme tu le dis bingo9.exe et ertydf.exe, mais le pb ce qu’après avoir fait une recherche sur mon poste de travail, il n’a pas trouvé de fichiers correspondants (en revanche j’ai bien viré le troisième C:\WINDOWS\System32\iegfxfrw.dll). J’ai alors fait une recherche sur les fichiers contenant ces textes, et voici ce que j’obtiens :

pour bingo9.exe, 2 fichiers contiennent ce texte tous deux sous le répertoire C:\WINDOWS\PCHealth\HelpCtr\DataColl, ce sont les fichiers CollectedData_3703 et CollectedData_5532. Ce sont des fichiers de type XML ( ?), en ouvrant le premier voici ce que j’ai (c’est là que c’est long, oups…) :
<?xml version="1.0" encoding="unicode" ?>
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">"C:\Program Files\WareOut\WareOut.exe"</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">WareOut</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>"C:\Program Files\WareOut\WareOut.exe"</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>WareOut</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">bingo9.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">MSTCPDLL</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>bingo9.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>MSTCPDLL</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">Bogobot.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">xsetup</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>Bogobot.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>xsetup</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">ERTYDF.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">PrcIdle</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>ERTYDF.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>PrcIdle</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">hyandex.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">cnftips</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>hyandex.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>cnftips</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">PrcIdle.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">stuffmon</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>PrcIdle.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>stuffmon</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
</DECLGROUP.WITHPATH>
</DECLARATION>
</CIM>

voilà c’est tout !!!
mais on trouve effectivement des lignes avec les deux fichiers que tu m’as conseillé de virer.

Qu’est-ce que je fais ? je vire les 2 fichiers XML ???

Voilà voilà, désolé d’abuser, mais c’est un peu agaçant ce genre de parasites, mais tu vois que malgré mes faibles connaissances en informatique, j’essaie de fouiller et de comprendre…. J
J'essaie d’abord de relancer tout ça après mon hijckthis et je te tiens au jus...

A+
poctoy

Réponse 11 / 22

jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
10 juil. 2005 à 22:34

et comme disent les touareg

çà bosse çà bosse...wouarf

bon c'est la fin je craque....

Réponse 12 / 22

Utilisateur anonyme
11 juil. 2005 à 21:06

salut

bien joué, on apprend pas mal de choses dans ce que tu as trouvé

recherche et supprime ces fichiers s'ils existent:

C:\Program Files\WareOut
bingo9.exe
ERTYDF.exe
hyandex.exe

personnellement je virerais pas les fichiers xml, j'en ai aussi dans le meme dossier, c'est peut etre juste des traces d'install.

reposte un hijack et un log de smitfraudfix option 1

a+

poctoy
11 juil. 2005 à 22:49

re,

bon ben j'essaie ça demain parce que là y'à la belle mère qui fait un stage prolongé à la maison et commele bureau fait aussi office de chambre d'amis, faut que je laisse la place... lol

A+
poctoy

Réponse 13 / 22

Utilisateur anonyme
11 juil. 2005 à 23:03

lol

ok a+

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
12 juil. 2005 à 19:36

salut,

bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).

je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.

pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7

Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr

27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE

28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr

18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE

19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr

07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE

08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets

R‚pertoire de C:\WINDOWS\system32

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?

hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???

et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

A+
poctoy

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
12 juil. 2005 à 19:50

salut,

bon ça y est la belle mère a passé une bonne nuit, je reprends possession de mon outil informatique (dont elle n'a d'ailleurs aucune utilité, lol...).

je n'ai pas trouvé les fichiers bingo9, ertydf, et hyandex. Pour ce dernier, il apparaît aussi dans le répertoire datacoll, c'es un fichier XML...j'ai viré wareout par contre.

pour le rapport de smitfraud, le voici :
SmitFraudFix v0.7

Rapport fait à 19:24:47,98 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\uninstIU.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

C:\WINDOWS\system32\intel32.exe PRESENT !
C:\WINDOWS\system32\oleadm.dll PRESENT !
C:\WINDOWS\system32\wp.bmp PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\WINDOWS\system32\wininet.dll infecté !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 20ED-8B5C

R‚pertoire de C:\WINDOWS\$hf_mig$\KB834707\SP2QFE

29/09/2004 20:47 660ÿ992 wininet.dll
1 fichier(s) 660ÿ992 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB834707$

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

24/04/2003 14:00 603ÿ136 wininet.dll
1 fichier(s) 603ÿ136 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\rtmgdr

27/04/2005 16:42 580ÿ608 wininet.dll
1 fichier(s) 580ÿ608 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\12a6656285c2311e0b0d8330747299a4\RTMQFE

28/04/2005 00:36 590ÿ848 wininet.dll
1 fichier(s) 590ÿ848 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr

18/02/2005 17:36 596ÿ992 wininet.dll
1 fichier(s) 596ÿ992 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE

19/02/2005 04:11 586ÿ240 wininet.dll
1 fichier(s) 586ÿ240 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e

20/08/2004 01:09 660ÿ480 wininet.dll
1 fichier(s) 660ÿ480 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\rtmgdr

07/12/2004 20:17 594ÿ944 wininet.dll
1 fichier(s) 594ÿ944 octets

R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\e2b2a65f5ac60f19171d8ab8040f71da\RTMQFE

08/12/2004 05:24 585ÿ728 wininet.dll
1 fichier(s) 585ÿ728 octets

R‚pertoire de C:\WINDOWS\system32

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

R‚pertoire de C:\WINDOWS\system32\dllcache

11/11/2004 20:51 593ÿ920 wininet.dll
1 fichier(s) 593ÿ920 octets

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

il semble qu'il y ait un peu plus de trucs bizarres que l'autre jour... qu'est ce que t'en penses?

hier en relançant l'ordi, j'ai eu ce message sur fond bleu qq secondes :
"a fatal error in IE occured in 0028:c0011E36 in VXDVMM/01+00010E36 trojan-spy.html.smitfraud"
c koi???

et voici le rapport de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:33:07, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\intel32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

A+
poctoy

Réponse 14 / 22

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
12 juil. 2005 à 19:45

salut je sais pas si moe est la donc
redemarre en mode sans echec et relance le fix clik sur l option 2 et repond oui a tous
redemarre et met nous le rapport et un nouvel hijack

Réponse 15 / 22

Utilisateur anonyme
12 juil. 2005 à 19:54

salut poctoy

tu pouvais suivre les conseils de balltrap, pas de problemes

Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur "do a system scan only"
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110

valider avec [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

lance le fix et choisis l'option 2 et accepte tous les nettoyages

redemarre normallement et reposte un hijack + le rapport de l'option 1 du fix

Réponse 16 / 22

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
12 juil. 2005 à 19:55

moi je fais l inverse fix puis hijack apres redemarrage et ensuite correction hijack
moe toi tu pense que c est mieux dans l autre sens?

Réponse 17 / 22

Utilisateur anonyme
12 juil. 2005 à 19:59

je sais pas, ca doit etre pareil, c'est juste l'habitude....

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
12 juil. 2005 à 21:14

re,

c fait, dans le hijackthis, je n'ai pas les deux premiers O4, ni le O17. J'ai donc juste enlever le troisième O4 mentionné.
voici le rapport hijackthis effectué en mode sans échec :

Logfile of HijackThis v1.99.1
Scan saved at 20:55:59, on 12/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

le rapport fix de l'option 2 du mode sans échec (oups pour l'option 1, mais apparemment il n'y avait rien de suspect)
RAPPORT SMITFRAUD :
SmitFraudFix v0.7

Rapport fait à 20:59:32,90 le 12/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

Processus arreté: AntivirusGold.exe
Processus arreté: bsw.exe
Processus arreté: helper.exe
Processus arreté: hookdump.exe
Processus arreté: intel32.exe
Processus arreté: intmon.exe
Processus arreté: intmonp.exe
Processus arreté: msmsgs.exe
Processus arreté: msole32.exe
Processus arreté: ole32vbs.exe
Processus arreté: ongi.exe
Processus arreté: popuper.exe
Processus arreté: r.exe
Processus arreté: runsrv32.exe
Processus arreté: shnlog.exe
Processus arreté: spoolsrv32.exe
Processus arreté: uninst.exe
Processus arreté: uninstIU.exe
Processus arreté: w8673492.exe
Processus arreté: winnook.exe
Processus arreté: winstall.exe
Processus arreté: wp.exe
Processus arreté: zloader3.exe

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

pour le processus wp.exe arrêté, il s'agit d'une fenêtre bleu qui apparaît au lancement de XP et qui m'affiche le message
"a fatal error in IE occured by 0028:C0011E36 in VXDVMM/01+00010E36 caused by trojan-spyware.html.smitfraud.c"
ou qq chose de ce genre...

Enfin, pour rappel qd je fais clic droit sur cette put.. d'image blanche, et que j'affiche la source, j'ai la fenêtre suivante qui apparaît :

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#004e98 leftMargin=0 background="" topMargin=0
rightMargin=0><IFRAME id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
</BODY></HTML>

donc il semble qu'il lance deux processus automatique qui sont cachés "hidden", un avec ce fameux message wp.exe, l'autre avec C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"

bon voilà, sais plus quoi faire...
pour rappel; aussi j'ai mis à jour ad-aware et spybot, mais ils n'ont rien trouvé de suspect...

tout à l'heure j'ai réinstallé un fond d'écran pero, mais l'image passe en arrière plan de cette toujours put... d'image blanche, et au relancement de XP, mon fond d'écran a redisparu

A+ et merci de votre patience
poctoy

Réponse 18 / 22

Utilisateur anonyme
12 juil. 2005 à 21:24

tu as reessayé ceci:

Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE

et fixe celle là:
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

regarde si ce dossier existe: C:\spywarevanisher-free

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
12 juil. 2005 à 21:57

re,

ouah, ça marche, j'ai remis un fond d'écran qui cette fois apparaît en entier. Mais en revanche sur "affichage", clic droit et onglet "web", après avoir viré la ligne que tu m'as dit, je n'ai plus rien, cad que je n'ai plus "ma page d'accueil"..., la fenêtre est vide.

je suis entrain de faire une recherche sur spyvanisher-free, et ensuite je reboot pour voir si le fond d'écran reste tel quel...
je te tiens au jus.

à tout
poctoy

poctoy Messages postés 33 Date d'inscription samedi 5 mars 2005 Statut Membre Dernière intervention 28 juillet 2015
12 juil. 2005 à 22:41

ok ça roule tout est redevenu normal.
enfin juste un dernier tt petit point, l'affichage principal de windows est différent, les angles sont un peu plus carrés, le style de police a changé je pense aussi. bref, la présentation est un peu plus rigide, comme les icônes par ex. c'est pas trop gênant ùais comment puis-je remettre t ça en config initiale.

merci encore pour votre aide.
poctoy

Réponse 19 / 22

Utilisateur anonyme
12 juil. 2005 à 22:45

tu as basculé vers l'affichage classique ?
est ce que tu peux faire une capture d'ecran et la poster ici:
http://www.cjoint.com/
ensuite met le lien vers l'image ici

est ce que tu as trouvé C:\spywarevanisher-free ?

Réponse 20 / 22

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
12 juil. 2005 à 22:56

moe je pense qu il vas falloir rajouter ceci au fix
C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html
ainsi que les clefs

Fond d'écran parasite...

22 réponses

Discussions similaires